欧易程序员1024献礼：链上安全手册

安全功能组成，例如密码学、软件中介合同和身份控制。该技术通过启用分布式方式来验证访问、验证交易记录和维护隐私，从而提供显着水平的数据保护和完整性。

然而，尽管有这些安全性增强，区块链市场仍然充斥着安全问题。基于区块链的攻击来自外部参与者以及内部人员。其中许多黑客使用了常见的策略，例如网络钓鱼、社会工程、攻击传输中的数据或针对编码错误。新技术伴随着新的开发工具和方法，区块链也不例外。一种新的网络威胁正在出现，涉及区块链网络独有的策略。其中包括：51%的攻击、加密劫持、闪电贷攻击、rugpull等

人为风险

人为风险是除技术外的一类因素，端点漏洞也是恶意行为者的入口点，例如设备、应用程序、钱包或第三方供应商级别的漏洞。员工和供应商人员也是目标。并非所有的区块链都是平等的，在市场讨论中经常被忽视的是，区块链架构存在很大差异，尤其是在涉及不同结构和组件如何引入安全权衡时。随着区块链的组件、算法和用途不断发展，攻击策略和威胁缓解技术也将不断发展。

缺乏监管

缺乏监管，智能合约不能替代合规性——它们不具有法律约束力。从到假冒，从隐私到，不明确的监管环境会减缓采用速度，并使网络犯罪分子猖獗。

逻辑漏洞

逻辑漏洞是指由于程序逻辑不严导致一些逻辑分支处理错误造成的漏洞。

在实际开发中，因为开发者水平不一没有安全意识，而且业务发展迅速内部测试没有及时到位，所以常常会出现类似的漏洞。

代码漏洞

欧易OKX将于1月12日22:00独家限量发售Tribeca电影节NFT Pass:据欧易OKX官方消息，欧易OKX与Tribeca电影节合作推出的 “Tribeca Festival NFT Pass”，将于1月12日22:00在欧易OKX NFT 市场独家发售，首期发售限量100张，发行价格为0.5ETH。NFT Pass持有者可以获得但不限于，2023年Tribeca电影节颁奖典礼门票、Tribeca官方商品及票务活动折扣、亲身参与电影明星和加密先驱酒会、以及特别观影权等多项权益。

据悉，欧易OKX是Tribeca电影节首家加密资产交易平台合作伙伴，也是首个发行电影节NFT Pass平台。用户可以在欧易OKX官方网站或者APP中，进入Web3钱包-NFT市场购买NFT Pass。[2023/1/12 11:08:26]

这是指代码中的一个缺陷，它会产生损害安全性的潜在风险。此漏洞将允许黑客通过附加端点来提取数据、篡改合约或更糟的是擦除所有内容，从而利用代码。

风险分级

致命：存在致命风险及隐患，需要立即解决

高风险：存在高危风险及隐患，将引发相同问题，必须解决

中风险：存在中度风险及隐患，可能导致潜在风险，最终仍然需要解决

低风险：存在低风险及隐患，指各类处理不当或会引发警告信息的细节，这类问题可暂时搁置

建议：存在可优化的部分，这类问题可以搁置，但建议最终解决

分级标准

定级主要依据漏洞的危害程度、利用难度，辅以其他因素综合判定，其中：危害程度主要根据机密性影响(C)、完整性影响(I)、可用性影响(A)三个维度定义；利用难度主要根据攻击向量(AV)、攻击复杂度(AC)、认证(Au)三个维度定义。

欧易Web3钱包正式上线完整版跨链Swap:8月25日，据欧易OKX官方中文Twitter发布消息，欧易Web3钱包正式上线完整版跨链Swap，目前已支持包含ETH、BSC、Polygon在内的8条EVM主流公链。同时在跨链过程中用户可一键勾选自动兑换目标链Gas Token，以便用户在下次交易时无需额外转入Gas Token。

据了解，OKX Trade拥有团队自主研发智能订单路由，能够帮助用户找到最优交易路径，最优价格，最优gas。支持10+主流公链，支持100+主流DEX，支持100,000+币种。[2022/8/25 12:47:56]

风险种类个数

重入攻击

注入攻击

权限绕过

Mempool抢跑

回滚

条件竞争

循环耗尽gas费

闪电贷高影响

经济模型不合理

可预见的随机数

投票权管理混乱

数据隐私泄露

链上时间使用不当

fallback函数编码不当

鉴权不当

opcode使用不当

内联汇编使用不当

构造函数不规范

返回值不规范

event不规范

关键字使用不规范

未遵循ERC标准

欧易OKX新任CMO Haider ：欧易将成为加密行业的“字节跳动”:据官方消息，欧易OKX公布了新上任的首席营销官海德·拉菲克（Haider Rafique）。在今年年初从OKEx更名为OKX之后，其新的CMO正在改变此前较为低调的营销方式，在广告和体育方面投入巨资，通过进一步的合作伙伴关系和新的品牌活动来打造品牌。海德概述了他的营销战略，他希望OKX成为“加密行业的字节跳动”。

加盟OKX后，海德促成了欧易OKX与英超排名第一的英国足球俱乐部曼城达成价值数千万美元的深度合作。OKX于3月成为曼城俱乐部的官方加密交易所合作伙伴，涵盖曼城的男子、女子球队，及电子竞技业务。[2022/4/26 5:13:06]

条件判断不规范

流动性枯竭风险

中心化风险

逻辑变更风险

整数溢出

函数可见性不当

变量初始化不当

合约间调用不当

变量不规范

重放攻击

随机存储位置写入

蜜罐逻辑

哈希碰撞

使用不推荐的方法

未遵循基本编码原则

第三方依赖风险

领奖逻辑不当

编码不规范

应急机制缺失

代码逻辑问题

计算精度丢失

无意义的合约

欧易CEO Jayhao：抓住结构化机会投资，将成为加密市场新常态:据微博消息，欧易OKEx CEO JayHao表示，从各种经济信号来看，全球经济仍然处于一个通胀上行阶段，这导致人们手中的钱在不断贬值。如何实现财富的保值增值，成为当下每个人需要考虑的重要问题之一。因此，实现金融资产的合理配置，是必然的选择，要把握的是结构性机会，而不是盲目撒网。

面对加密市场，Jay表示，近期，比特币价格一直在5万美元-6万美元区间徘徊，而诸如 YFI，DOGE等资产价格却出现了翻倍的情况；同时，比特币也在2.6万亿美元加密市场总市值中份额从2021年初约70%降至43%, 这说明更多价值洼地开始崛起，将资金按不同比例分配将成为投资加密市场的趋势。主流资产后市方向短期虽暂不明确，但长期来看，多元化的企业级投资仍是市场的强支撑，关注结构化机会，我相信这是经历几轮牛熊市后的价值共识。[2021/5/13 21:58:17]

已弃用的合约

精度不匹配

代理使用不规范

资产安全

外部函数调用不当

多次初始化风险

未判断返回值

账户缺少签名者检查

缺少账户可写检查

程序逻辑缺陷

Hash算法使用不当

WriteFile权限过高

业务逻辑存在为题

过时的外部依赖

循环耗尽gas

欧易OKEx完成SPND置换并将上线STRK:据官方公告，根据Spendcoin官方计划，SPND已按照1000:1的比例置换为STRK。欧易OKEx已经为平台SPND持有用户将SPND按照?1000SPND?: 1STRK?的比例转换为STRK代币。欧易OKEx将开放STRK交易，具体时间如下：STRK充值时间为5月12日16:00；STRK/USDT的市场交易:开放时间为5月12日17:00。[2021/5/12 21:53:31]

条件判断不规范

中心化风险

未遵循基本的编码原则

业务逻辑存在问题

每个种类风险的描述

循环耗尽gas：在以太坊区块链中，不能将交易设置为永久运行。交易可以运行直到达到gas限制。一旦发生这种情况，交易将出错，并且将返回“outofgas”错误。

条件判断不规范：智能合约代码中进行条件判断不规范，缺失必要检查。

中心化风险：智能合约部分函数接口权限由单一私钥控制，具有中心化风险。

未遵循基本的编码原则：没有遵循基本的编码原则，如变量命名错误等。

业务逻辑存在的问题：业务逻辑考虑不完善，比如退款情况考虑不周。

案例1

北京时间2022年8月2日凌晨，NomadBridge遭受攻击，导致价值约1.9亿美元的损失。

OKLink链上卫士追踪显示，NomadBridge攻击事件共涉及1251个ETH地址，涉及14个币种，涉案金额约1.9亿美金；其中包含12个ENS地址，ENS地址涉案金额超6980万美金，约占总金额的38%；在利用漏洞获利后，直接进行交易的地址数达739个，占比近60%。但值得注意的是并不是所有地址都是恶意攻击，已知已有白帽骇客公开表态愿意归还资金，OKLink已对剩余的地址进行了监控，后期若发生异动，会通过微博、推特向用户同步。

案例分析

对Replica合约的process函数进行分析，在require(acceptableRoot(messages),“!proven”);这个判断条件中，messages的值需要经过acceptableRoot函数的逻辑检验，返回值为true才能继续往下执行。

注意到acceptableRoot函数中，传入的_root参数，在confirmAt大于0且小于等于block.timestamp的情况下，就会返回true。

那么该漏洞的核心就在对confirmAt这个mapping赋值的过程。从initialize函数输入参数可以看到，_committedRoot使用了0x00。一般情况使用0值做初始化参数没有问题，但是在Nomad的这个场景下，就导致了任意message都能通过检测的安全漏洞。

链上卫士分析师建议在initialize函数中也进行严格的安全检查和判断。

BNBChian跨链桥BSCTokenHub遭遇攻击。黑客利用跨链桥漏洞分两次共获取200万枚BNB，价值约5.66亿美元。

案例分析

BSCTokenHub是BNB信标链和BNB链之间的跨链桥。BNB链使用预编译合约0x65验证BNB信标链提交的IAVL的Proof，但BNB链对提交的Proof边界情况处理不足，它仅考虑了Proof只有一个Leaf的场景，对多个Leaves的处理逻辑不够严谨。黑客构造了一个包含多Leaves的Proof数据，绕过BNBChain上的校验，从而在BNB链造成了BNB增发。

货币或区块链交互的智能合约代码的综合过程。执行此过程是为了发现代码中的错误、问题和安全漏洞，以便纠正和修复它们。它可以保护代码免受未来潜在错误的影响。

OKLinkAudit采用静态扫码和人工验证相结合的审计方式，从根源处检查项目，确保项目安全。审计团队还拥有严格的漏洞评级标准，对每个漏洞设置三个级别的评分，分别是基础评分、时间评分和环境评分，确保审计结果的准确、专业。当然，专家团队也会提供针对性的修改建议，提升项目的安全性、隐私性及可用性。目前参与审计的项目涵盖公链、DeFi、L2、稳定币、钱包、NFT等多个板块。

2021年，因黑客攻击、漏洞利用和欺诈造成的损失达到13亿美元。

2022年第一季度，攻击型安全事件造成的损失高达约12亿美元，比去年同期的1.3亿美元增长了约9倍。它也高于2021年任何一个季度的损失金额。

在被攻击的项目中，70%由第三方审计机构审计。然而，在剩下的30%未经审计的项目中，因攻击而遭受的损失占总损失额的60%以上。

Slither

Slither是第一个开源的针对Solidity语言的静态分析框架。Slither速度非常快，准确性也非常高，它能够在不需要用户交互的情况下，在几秒钟之内找到真正的漏洞。该工具高度可配置，并且提供了多种API来帮助研究人员审计和分析Solidity代码。

Slither在检测智能合约漏洞时，其功能优于其他静态分析工具，在速度、检测准确性方面都有着先天优势。Slither包含了一整套针对Solidity的专用静态分析工具，它可以用来检测可重用性、构造函数和方法访问等编码中的常见错误。

Mythril

Mythril是以太坊的官方合约漏洞检测工具，可以检测大量的智能合约安全问题，如整数溢出，任意地址写入，时间戳依赖等14种漏洞检测工具。可以发现常规漏洞，但是无法发现一个合约的业务逻辑问题，主要思想是利用符号执行去探索所有可能的不安全的路径。

Mythril集成了符号执行、控制流检查、污点分析等技术，并支持自定义漏洞检测逻辑来对智能合约进行分析，同时，Mythril由于可以通过多次符号执行来模拟现实区块链和智能合约被多次调用的情况，但是对于某些漏洞如重入、拒绝服务攻击的误报率比较高，也无法检测出一些常规逻辑错误。并且由于Mythril由于存在着多次符号执行，要探索的路径数量更多，也带来了较大的时间和空间开销。

风险判断及检测工具

1.TokenScanner

TokenScanner是OKLinkAudit第一个对外推出的产品，目前有B端API产品，以及C端页面产品，也在和一些区块链钱包团队接洽帮助进行进行整套安全加固方案的建设。

目前API产品里面支持了9条EVM链的风险代币检测能力：POLY,OP,ARB,FTM,AVAX,OKC,TRON，页面上支持了ETH和BSC，其他链正在开发中，年底之前页面上会支持全部9条链的风险检测项，通过代币检测能力，我们检测了3,534,306代币，通过我们的风险扫描，确定了106,474个风险代币。

2.ArgusEye

结合OKLink的底层大数据能力与标签能力，针对这些数据信息我们对风险事件中的事发地址和上下游地址进行破解与规律性总结，搭建了一套可疑地址和风险交易的实时发现、跟踪分析及响应处置的机制。也会针对可能的安全事件做安全播报

DEX中的流动性，以及链上代币持有者信息，我们拥有4部分检测能力。

2.基于OKLink大数据能力，我们自研一套代币打分规则对代币进行打分，10分以下是极高风险代币包括有貔貅盘代币和rugpull代币，是高危预警建议用户不要购买，10-40是高风险，建议用户也不要持有该代币，40-80是中风险，80-100是低风险，用户可以自行斟酌购买。

3.代币分类器，对于特殊实现标准的代币通过分类器进行展示，类似于ERC677和777与某些DEX协议不兼容，可能会导致用户无法正常买入卖出，以及有rebase机制的代币，代币流通量会跟随币价动态变化，也就可能会导致用户发现自己钱包里面的代币突然减少了或是增多了。我们从用户视角出发设置的代币分类器帮助小白用户快速理解代币潜在风险。

标签：okx区块链BNBROOokx公司在吗区块链存证平台一起bnb详细攻略Rootkit Finance

Gateio热门资讯